kuchmastarfandomcom_ru-20200214-history
ЖопаСкрипт
, JIT в машинные коды |year = 1995 |designer = Брендан Эйх |latest_release_version = ECMAScript 2016 |latest_release_date = 14 июня 2016 |latest_preview_version = |latest_preview_date = 27 июня 2010 |typing = утиная |implementations = SpiderMonkey, Rhino, , JavaScriptCore, V8 |influenced_by = Lua, Self , Си, Scheme, Perl, Python, Java, AWK, HyperTalk |influenced = Objective-J, Dart, TypeScript }} |type code = |uniform type = com.netscape.javascript-source |magic = |genre = текстовый файл с исходным кодом |container for = |contained by = |extended from = ECMAScript |extended to = |standard = |url = }} JopaScript (ЖопаСкрипт) ( ; аббр. JS ) — мультидиафрагменный язык программирования (а не говно). Поддерживает объектно-ориентированный, императивный и пукциональный стили. Является реализацией языка ECMAScript (стандарт ECMA-262 ). JopaScript обычно используется как встраиваемый язык для программного доступа к объектам приложений. Наиболее широкое применение находит в браузерах как язык сценариев для придания интерактивности веб-страницам . Основные архитектурные черты: динамическая типизация, слабая типизация, автоматическое управление памятью, прототипное программирование, функции как объекты первого класса. На JavaScript оказали влияние многие языки, при разработке была цель сделать язык похожим на Java, но при этом лёгким для использования непрограммистами. Языком JavaScript не владеет какая-либо компания или организация, что отличает его от ряда языков программирования, используемых в веб-разработкеC#, PHP, Perl, Python, Java. . Название «JavaScript» является зарегистрированным товарным знаком компании Oracle Corporation . История Предпосылки В 1992 году компания (впоследствии приобретённая ) начала разработку встраиваемого скриптового языка (Си-минус-минус), который, по замыслу разработчиков, должен был стать достаточно мощным, чтобы заменить макросы, сохраняя при этом схожесть с Си, чтобы разработчикам не составляло труда изучить его . Главным отличием от Си была работа с памятью. В новом языке всё управление памятью осуществлялось автоматически: не было необходимости создавать буферы, объявлять переменные, осуществлять преобразование типов. В остальном языки сильно походили друг на друга: в частности, поддерживал стандартные функции и операторы Си . был переименован в , поскольку исходное название звучало слишком негативно, а упоминание в нём Си «отпугивало» людей . На основе этого языка был создан проприетарный продукт . В конце ноября 1995 года разработала версию , внедряемую в веб-страницы. Страницы, которые можно было изменять с помощью скриптового языка, получили название — они демонстрировали использование скриптового языка для создания игры, проверки пользовательского ввода в формы и создания анимации. позиционировались как демоверсия, призванная помочь представить, что случится, если в браузер будет внедрён язык . Работали они только в 16-битовом Netscape Navigator под управлением Windows . JavaScript мини|125пкс|Брендан Эйх | место = Москва, Санкт-Петербург, Киев | издательство = Дилектика | год = 2006 | страниц = 1184 | страницы = 3, 26 | isbn = 5-8459-1027-7 | тираж = 3000 }} Перед Бренданом Эйхом, нанятым в компанию Netscape 4 апреля 1995 года , была поставлена задача внедрить язык программирования Scheme или что-то похожее в браузер Netscape. Поскольку требования были размыты, Эйха перевели в группу, ответственную за серверные продукты, где он проработал месяц, занимаясь улучшением протокола HTTP. В мае разработчик был переброшен обратно, в команду, занимающуюся клиентской частью (браузером), где он немедленно начал разрабатывать концепцию нового языка программирования. Менеджмент разработки браузера, включая Тома Пакина (Tom Paquin), , Рика Шелла (Rick Schell), был убеждён, что Netscape должен поддерживать язык программирования, встраиваемый в HTML-код страницы . thumb|left|125px|Марк Андрессен thumb|right|125px|Билл Джой Помимо Брендана Эйха в разработке участвовали сооснователь Netscape Communications Марк Андрессен и сооснователь Sun Microsystems Билл Джой: чтобы успеть закончить работы над языком к релизу браузера, компании заключили соглашение о сотрудничестве в разработке . Они ставили перед собой цель обеспечить «язык для склеивания» составляющих частей веб-ресурса: изображений, плагинов, Java-апплетов, который был бы удобен для веб-дизайнеров и программистов, не обладающих высокой квалификацией. Первоначально язык назывался Mocha | место = Москва, Санкт-Петербург, Киев | издательство = ООО "И. Д. Вильямс" | год = 2008 | страниц = 272 | страницы = 18 | isbn = 978-5-8459-1186-5 | тираж = 2000 }} , затем он был переименован в LiveScript и предназначался как для программирования на стороне клиента, так и для программирования на стороне сервера (там он должен был называться LiveWire). На синтаксис оказали влияние языки Си и Java, и, поскольку Java в то время было модным словом, 4 декабря 1995 года LiveScript переименовали в JavaScript , получив соответствующую лицензию у Sun. Анонс JavaScript со стороны представителей Netscape и Sun состоялся накануне выпуска второй бета-версии Netscape Navigator. В нём декларируется, что 28 лидирующих ИТ-компаний выразили намерение использовать в своих будущих продуктах JavaScript как объектный скриптовый язык с открытым стандартом . В 1996 году компания Microsoft выпустила аналог языка JavaScript, названный JScript. Анонсирован этот язык был 18 июля 1996 года . Первым браузером, поддерживающим эту реализацию, был Internet Explorer 3.0. По инициативе компании Netscape была проведена стандартизация языка ассоциацией ECMA. Стандартизированная версия имеет название ECMAScript, описывается стандартом ECMA-262. Первой версии спецификации соответствовал JavaScript версии 1.1, а также языки JScript и ScriptEasy. Популярность В статье «The World’s Most Misunderstood Programming Language Has Become the World’s Most Popular Programming Language» ( «Самый неправильно понятый язык программирования в мире стал самым популярным в мире языком программирования») Дуглас Крокфорд утверждает, что лидирующую позицию JavaScript занял в связи с развитием AJAX, поскольку браузер стал превалирующей системой доставки приложений. Он также констатирует растущую популярность JavaScript, то, что этот язык встраивается в приложения, отмечает значимость языка. Согласно TIOBE Index, базирующемуся на данных поисковых систем Google, MSN, Yahoo!, Википедия и YouTube, в апреле 2015 года JavaScript находился на 6''' месте (год назад на '''9) . По данным в разработке открытого программного обеспечения доля использования JavaScript росла. 36 % проектов, выпуски которых состоялись с августа 2008 по август 2009 гг., включают JavaScript, наиболее часто используемый язык программирования с быстрорастущей популярностью. 80 % открытого программного обеспечения использует Си, C++, Java, Shell и JavaScript. При этом JavaScript — единственный из этих языков, чья доля использования увеличилась (более чем на 2 процента, если считать в строках кода) . JavaScript является самым популярным языком программирования, используемым для разработки веб-приложений . Возможности языка JavaScript является объектно-ориентированным языком, но используемое в языке прототипированиеLearning Javascript with Object Graphs. Objects and Prototype ChainsLearning Javascript with Object Graphs (Part II). Pure Prototypal Objects обуславливает отличия в работе с объектами по сравнению с традиционными класс-ориентированными языками. Кроме того, JavaScript имеет ряд свойств, присущих функциональным языкам — функции как объекты первого класса, объекты как списки, карринг, анонимные функции, замыканияLearning Javascript with Object Graphs. Visualizing Closures — что придаёт языку дополнительную гибкость. Несмотря на схожий с Си синтаксис, JavaScript по сравнению с языком Си имеет коренные отличия: * объекты с возможностью интроспекции; * функции как объекты первого класса; * автоматическое приведение типов; * автоматическая сборка мусора; * анонимные функции. В языке отсутствуют такие полезные вещи , как: * стандартная библиотека: в частности, отсутствует интерфейс программирования приложений по работе с файловой системой, управлению потоками ввода-вывода, базовых типов для бинарных данных; * стандартные интерфейсы к веб-серверам и базам данных; * система управления пакетамиИмеется в виде отдельной библиотеки ., которая бы отслеживала зависимости и автоматически устанавливала их. Семантика и синтаксис Синтаксис языка JavaScript во многом напоминает синтаксис Си и Java, семантически же язык гораздо ближе к Self, Smalltalk или даже Лиспу . В JavaScript: * все идентификаторы регистрозависимы, * в названиях переменных можно использовать буквы, подчёркивание, символ доллара, арабские цифры, * названия переменных не могут начинаться с цифры, * для оформления однострочных комментариев используются //, многострочные и внутристрочные комментарии начинаются с /* и заканчиваются */. Структура языка Структурно JavaScript можно представить в виде объединения трёх чётко различимых друг от друга частей : * ядро (ECMAScript), * объектная модель браузера ( ), * объектная модель документа (Document Object Model или DOM). Если рассматривать JavaScript в отличных от браузера окружениях, то объектная модель браузера и объектная модель документа могут не поддерживаться. Объектную модель документа иногда рассматривают как отдельную от JavaScript сущность , что согласуется с определением DOM как независимого от языка интерфейса документа Однако это не мешает рассматривать DOM как составную часть языка, приложения или библиотеки. Так например, при описании целей ES-Harmony Брендан Айх оговаривает как одну из целей создания языка, что он должен хорошо подходить для создания библиотек, которые, в том числе, могут включать и DOM.. В противоположность этому ряд авторов находят BOM и DOM тесно взаимосвязанными . Ядро ECMAScript не является браузерным языком и в нём не определяются методы ввода и вывода информации. Это, скорее, основа для построения скриптовых языков. Спецификация ECMAScript описывает типы данных, инструкции, ключевые и зарезервированные слова, операторы, объекты, регулярные выражения, не ограничивая авторов производных языков в расширении их новыми составляющими. Объектная модель браузера Объектная модель браузера — браузер-специфичная часть языка , являющаяся прослойкой между ядром и объектной моделью документа . Основное предназначение объектной модели браузера — управление окнами браузера и обеспечение их взаимодействия. Каждое из окон браузера представляется объектом window, центральным объектом DOM. Объектная модель браузера на данный момент не стандартизирована , однако спецификация находится в разработке WHATWG и W3C . Помимо управления окнами, в рамках объектной модели браузера, браузерами обычно обеспечивается поддержка следующих сущностей: * управление фреймами, * поддержка задержки в исполнении кода и зацикливания с задержкой, * системные диалоги, * управление адресом открытой страницы, * управление информацией о браузере, * управление информацией о параметрах монитора, * ограниченное управление историей просмотра страниц, * поддержка работы с HTTP cookie. Объектная модель документа Объектная модель документа — интерфейс программирования приложений для HTML и XML-документов . Согласно DOM, документ (например, веб-страница) может быть представлен в виде дерева объектов, обладающих рядом свойств, которые позволяют производить с ним различные манипуляции: * генерация и добавление узлов, * получение узлов, * изменение узлов, * изменение связей между узлами, * удаление узлов. Встраивание в веб-страницы Расположение внутри страницы Для добавления JavaScript-кода на страницу, можно использовать теги , которые рекомендуется, но не обязательно, помещать внутри контейнера . Контейнеров Расположение внутри тега Спецификация HTML описывает набор атрибутов, используемых для задания обработчиков событий . Пример использования: Удалить В приведённом примере при нажатии на ссылку функция confirm('Вы уверены?'); вызывает модальное окно с надписью «Вы уверены?», а return false; блокирует переход по ссылке. Разумеется, этот код будет работать только если в браузере есть и включена поддержка JavaScript, иначе переход по ссылке произойдёт без предупреждения. Использование кода JavaScript в контексте разметки страницы расценивается в рамках ненавязчивого JavaScript как плохая практика. Аналогом (при условии снабжения ссылки идентификатором alertLink) Удалить приведённого примера может являться, например, следующий фрагмент JavaScript: window.onload = function() { var linkWithAlert = document.getElementById("alertLink"); linkWithAlert.onclick = function() { return confirm('Вы уверены?'); }; }; Вынесение в отдельный файл Есть и третья возможность подключения JavaScript — написать скрипт в отдельном файле, а потом подключить его с помощью конструкции Атрибуты элемента script Элемент script, широко используемый для подключения к странице JavaScript, имеет несколько атрибутов. * необязательный атрибут type для указания MIME-типа содержимого. MIME-тип, соответствующий JavaScript, указано}} Медиатипы * application/javascript, * application/ecmascript, которые также определяются в этом документе, предназначены для практического использования, им следует отдавать предпочтение. * необязательный атрибут src, принимающий в качестве значения адрес к файлу со скриптом. * необязательный атрибут charset, используемый вместе с src для указания используемой кодировки внешнего файла. * необязательный атрибут defer указывает, что получение скрипта происходит асинхронно, но выполнение следует отложить до тех пор, пока страница не будет загружена целиком. * необязательный атрибут async указывает, что получение скрипта происходит асинхронно, а выполнение будет произведено сразу по завершению скачивания. Очерёдность выполнения скриптов не гарантируется. При этом атрибут language (language="JavaScript"), несмотря на его активное использование (в 2008 году этот атрибут был наиболее часто используемым у тега HotRuby выделит его, пошлёт на компиляцию удалённому скрипту и затем отобразит результаты работы на странице . Данная реализация позволяет осуществлять доступ из Руби к объектам JavaScript . Взаимодействие В некоторых языках программирования существуют средства поддержки взаимодействия с JavaScript-кодом. * Для PHP имеется пакет HTML Javascript, предоставляющий интерфейс создания простых JavaScript-программ . * Соответствующий пакет для Tcl называется ::javascript. Он предоставляет команды генерации кода HTML и JavaScript . * Пакет для Perl Data::JavaScript позволяет переносить структуры данных Perl в JavaScript-код . Поддержка браузерами На сегодняшний день поддержку JavaScript обеспечивают современные версии всех наиболее часто используемых браузеров. В Internet Explorer, Opera, Mozilla Firefox, Safari, Google Chrome имеется полная поддержка третьей редакции ECMA-262. При этом в Mozilla Firefox предпринята попытка осуществления поддержки четвёртой редакции спецификации, а первым браузером, в котором появилась неполная поддержка спецификации 3.1, явился Internet Explorer 8 . Допущенные разработчиками популярных браузеров ошибки в реализации спецификации, как правило, незначительны . По состоянию на ноябрь 2009 года объектная модель документа имеет более ограниченную поддержку . По мнению создателя языка, поддержка в Internet Explorer компанией Microsoft одного из существующих и применяющихся в других браузерах быстрых движков JavaScript способно привести к появлению приложений, работающих с трёхмерной графикой, написанных на JavaScript 3D-игр, использованию JavaScript в задачах, в которых ранее применялась технология Adobe Flash . Наборы тестов Регрессионное тестирование соответствия браузеров третьей редакции спецификации ECMA-262 может осуществляться Mozilla }} с помощью разработанного Google инструмента для тестирования соответствия спецификации ECMAScript Sputnik, включающего более пяти тысяч вариантов тестирования и получившего название по имени российской команды Google, а также написанной Юрием Зайцевым оболочки sputniktests-webrunner или сервиса Google . Варианты тестирования, входящие в Sputnik обновляются в связи с выходом пятой редакции спецификации ECMA-262, отражая изменения по сравнению с её предыдущей редакцией . ECMAScript 5 Conformance Suite представляет собой набор тестов, выпущенный Microsoft под лицензией BSD , для проверки соответствия реализации языка ECMAScript его пятой редакции спецификации. По состоянию на 12 марта 2010 года в пакете насчитывалось 1236 вариантов тестирования, он имел версию 0.2 альфа и количество загрузок за три месяца составляло 178 . Для проверки корректности реализаций JavaScript имеется набор тестов JavaScript Test Suite, выпущенных Mozilla . Безопасность JavaScript позволяет потенциальным авторам вредоносного кода запускать его на любом компьютере сети: для этого достаточно открыть на нём веб-страницу. Это обуславливает наличие двух принципиальных ограничений: * JavaScript-программы выполняются в песочнице, в которой они могут выполнять только ограниченный круг действий, а не задачи программирования общего назначения (например, создание файлов, работа с сокетами) , * для JavaScript-кода применяется политика общего происхождения, в соответствии с которой скрипт, встроенный в страницу, не может получить доступ к ряду свойств объектов другой страницы (в частности, к большинству свойств объекта document) при отличии в протоколе, хосте и номере порта этих страниц . Помимо этого, разработчики браузеров вносят дополнительные ограничения в ответ на имеющие место злоупотребления. Так появился, в частности, запрет на открытие окна, размер одной стороны которого меньше ста пикселей. Межсайтовые уязвимости Общая проблема, касающаяся JavaScript — межсайтовый скриптинг или XSS, нарушение политики общего происхождения. Уязвимости XSS имеют место в ситуациях, когда злоумышленник имеет возможность поместить скрипт на страницу, демонстрирующуюся пользователю. В этом случае скрипт получает доступ к сайту с правами этого пользователя, что в ряде случаев открывает возможность отсылки конфиденциальной информации, осуществление нежелательных транзакций. Уязвимости XSS также происходят из-за ошибок, допущенных разработчиками браузеров . Другим типом межсайтовой уязвимости является подделка межсайтовых запросов или CSRF. Она заключается в возможности сайта злоумышленника заставить браузер пользователя осуществить нежелательное действие на целевом сайте (например, банковский перевод денег). Такая возможность имеется, если целевой сайт полагается только на HTTP cookie или запросы авторизации. В этом случае запросы, инициализированные кодом сайта злоумышленника выполняются так же как запросы пользователя, если он авторизован на целевом сайте. Одним из средств защиты от CSRF является осуществление аутентификации при любом запросе, который приводит к необратимым последствиям. Также может помочь анализ HTTP referer. Неуместное доверие на стороне клиента Разработчики клиентских приложений, вне зависимости от того, используют они JavaScript или нет, должны осознавать, что последние могут находиться под контролем злоумышленников. Поэтому любая проверка на стороне клиента может быть обойдена, JavaScript может быть как запущен, так и нет. Код, подвергнувшийся обфускации может стать объектом обратной разработки; данные формы могут быть посланы на сервер, минуя валидацию, осуществляемую с помощью JavaScript; скрипты могут быть отключены частично, поэтому, например, надёжную защиту от сохранения изображений с помощью JavaScript осуществить нельзя ; чрезвычайно неосмотрительно внедрять пароль в JavaScript, исполняемый на клиенте, где он может быть найден злоумышленником. Ошибки в браузере, плагинах и расширениях JavaScript предоставляет интерфейс к широкому спектру возможностей браузера, некоторые из которых могут содержать ошибки, приводящие, например, к переполнению буфера. Это позволяет писать скрипты, приводящие к исполнению произвольного кода на пользовательской системе. Подобные ошибки выявлялись у часто используемых браузеров, включая Mozilla Firefox , Internet Explorer , Safari . При выявлении потенциально опасных ошибок в браузере и наличия сведений о реализованных эксплойтах фирма-производитель и эксперты по безопасности рекомендуют отключать JavaScript до выхода патча . Плагины, такие как плееры, Macromedia Flash и ряд ActiveX компонент, доступных по умолчанию в Internet Explorer, могут также содержать ошибки, эксплуатируемые с помощью JavaScript, что уже случалось ранее . Расширения Mozilla Firefox не изолированы друг от друга: одно расширение может исправлять другое, что может использоваться злоумышленниками. На конференции SecurityByte & Owasp AppSec Asia 2009 Роберто Сагги Ливерани (Roberto Suggi Liverani) и Ник Фримэн (Nick Freeman) продемонстрировали три эксплойта в популярных расширениях Firefox, загруженные с сайта более 30 миллионов раз . Ошибки реализации песочницы Браузеры могут запускать JavaScript вне песочницы с привилегиями, необходимыми, например, для создания и удаления файлов. Однако такие привилегии не должны даваться коду из веба. Неправильное наделение привилегиями JavaScript из веба служило причиной уязвимостей как Internet Explorer , так и Mozilla Firefox . Microsoft Windows позволяет файлам с кодом JavaScript запускаться как обычным программам без того, чтобы быть помещёнными в песочницу. Это делает возможным создание троянских программ . См. также * CoffeeScript * Библиотека JavaScript * TypeScript Примечания Спецификации Комментарии Ссылки Документация * Пятая редакция спецификации ECMA-262 * Третья редакция спецификации ECMA-262 * Mozilla. Документация по JavaScript Справочники * Поддержка ECMAScript браузерами * Поддержка DOM браузерами Тематические ресурсы * Крокфорд Д. JavaScript Дугласа Крокфорда Блоги известных авторов книг по JavaScript * Блог Николаса Закаса * Блог Джона Резига * Блог Стояна Стефанова * Блог Дэвида Флэнагана Категория:JavaScript Категория:Появились в 1995 году Категория:Языки с динамической типизацией Категория:Статьи с примерами кода JavaScript Категория:Языки веб-программирования Категория:Высокоуровневые языки программирования Категория:Прототипно-ориентированные языки программирования